Am 1. Januar 2020 ist in Kaliforien der “California Consumer Protection Act” (CCPA) in Kraft getreten. Der CCPA verlangt in erster Linie Transparenz und die Erfüllung von Betroffenenrechten. Er ist nicht eine Art “Mini-DSGVO”, lehnt sich in manchen Punkten aber an die DSGVO an. Der CCPA kann auf Unternehmen ausserhalb Kaliforniens Anwendung finden. Vgl. dazu das Fact Sheet des Office of the Attorney General).
Anwendungsbereich
Der CCPA ist auf juristische Personen ausserhalb Kaliforiens anwendbar, wenn das Unternehmen (1) für eine Datenverarbeitung verantwortlich und (2) gewinnstrebig ist, (3) in Kalifornien tätig ist und (4) einen der folgenden Schwellenwerte überschreitet:
- Jahres-Bruttoumsatz von USD 25 Mio. (an den Konsumentenpreisindex anzupassender Schwellwert);
- Kauf, Erhebung, Verkauf oder Bekanntgabe von (nicht öffentlich für den Bearbeitungszweck verfügbaren) Personendaten von 50’000 Konsumenten in Kaliforien, Haushalten oder netzwerkfähigen Geräten zu kommerziellen Zwecken
- 50 % des Jahresumsatzes stammt aus dem Verkauf von (nicht öffentlich für den Bearbeitungszweck verfügbaren) Personendaten von Konsumenten in Kaliforien.
In der Sache ist der CCPA anwendbar auf “personal information” von “consumers”. Das betrifft Informationen “that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household”. Dazu gehören ausdrücklich etwa
- “Identifiers such as a real name, alias, postal address, unique personal identifier, online identifier Internet Protocol address, email address, account name, social security number, driver’s license number, passport number, or other similar identifiers”, aber auch “any other financial information, medical information, or health insurance information”
- “Internet or other electronic network activity information, including, but not limited to, browsing history, search history, and information regarding a consumer’s interaction with an Internet Web site, application, or advertisement”
Ausgenommen sind aber öffentlich verfügbare Daten, sofern diese Daten nur zu Zwecken verwendet werden, für die sie veröffentlicht wurden.
Ebenfalls ausgenommen sind u.a. Daten, die dem HIPAA (Health Insurance Portability and Availability Act) unterstehen.
Regelungsgehalt
In erster Linie verleiht der CCPA den betroffenen Personen Rechte:
- Das Recht, Auskunft über die Kategorien und über die einzelnen erhobenen Personendaten zu verlangen;
- das Recht, über die Kategorien der erhobenen Daten und die Bearbeitungszwecke und weitere Punkte informiert zu werden, und der Anspruch, dass Daten nur zweckkonform bearbeitet werden;
- des Recht, (unter bestimmten Vorbehalten, u.a. der betriebsinternen zweckkonformen Weiterverwendung) Löschung von Personendaten zu verlangen, die das Unternehmen vom Konsumenten erhoben hat;
- das Recht, einem im Datenhandel tätigen Unternehmen den Verkauf von Personendaten zu untersagen. Solche Unternehmen müssen auf ihrer Website einen entsprechenden Link “Do Not Sell My Personal Information” anbieten;
- das Recht, im Zusammenhang mit einer Ausübung von Betroffenenrechten nicht diskriminiert zu werden (z.B. durch Verweigerung eines Vertragsschlusses oder durch ungerechtfertigt unterschiedliche Preise). Zulässig bleiben aber finanzielle Anreize für die Offenlegung von Personendaten und datengestützte Geschäftsmodelle mit entsprechendem Pricing;
- Das Recht, bei Sicherheitsverletzungen aufgrund unzureichender Sicherheitsmassnahmen u.a. Schadenersatz von mindestens USD 100 zu verlangen.
Verhältnis zur DSGVO
Die Einhaltung der DSGVO bedeutet nicht, dass das betreffende Unternehmen auch den CCPA einhält. Der CCPA enthält einige weitergehende Pflichten.